Qu'est-ce que l'OWASP ? Les failles informatiques expliquées
Les failles informatiques concernent toutes les entreprises, qui peuvent être touchées aussi bien au niveau de leurs équipements physiques, que logiciels. La traque de ces brèches de sécurité doit faire l’objet d’un travail constant, impliquant la mise en œuvre du capital humain nécessaire, mais aussi, et surtout, des outils adéquats. De nombreuses ressources existent, par exemple, OWASP (Open Web Application Security Project), une plateforme entièrement dédiée à ce sujet.
Où se trouvent les failles informatiques ?
Les cyberpirates disposent de trois grandes portes d’entrée pour pénétrer les entreprises :
- Le matériel physique connecté au réseau ;
- L’équipement logiciel ;
- Les multiples petites brèches physiques et logicielles, détectées grâce à un système de filtrage.
Comment sont provoquées les brèches informatiques ?
Dans les grandes lignes, on recense cinq menaces informatiques communément citées :
- Des vulnérabilités existantes et n’ayant jamais été corrigées ;
- Une erreur humaine ;
- La présence de logiciels malveillants (malwares) ;
- Le manque de formation et d’informations sur les bonnes pratiques en interne ;
- Le vol de matériel de stockage de données (clé USB, disque dur, etc.).
Comment surviennent les attaques informatiques ?
Vol de données et faiblesse des informations d’identification : la grande majorité des entreprises victimes de failles informatiques doivent renforcer la sécurité sur ces deux points. Pour y parvenir, elles doivent colmater les brèches afin d’éviter les attaques les plus courantes :
L’attaque dite de « l’homme du milieu » : le pirate passe par le système informatique d’une tierce personne à l’entreprise, par exemple, en profitant de la connexion d’un client au réseau de ladite entreprise ou en se cachant derrière son adresse IP.
Les attaques DoS et DDoS : le premier surcharge le réseau ou un service jusqu’à ce qu’il ne puisse plus gérer la charge tandis que le second consiste à dévier des dispositifs pour envoyer du trafic provenant de plusieurs sources afin de détourner l’attention.
Le phishing et le spear phishing : il s’agit d’envoyer un e-mail d’aspect officiel qui invite le destinataire à cliquer sur un lien, télécharger une pièce jointe contenant un logiciel malveillant ou demandant des informations sensibles. Dans le cas du spear phishing, l’e-mail est véritablement personnalisé !
L’attaque par mot de passe : un seul mot de passe pour plusieurs comptes, les mots de passe trop simples attirent les pirates !
L’attaque par écoute clandestine du réseau : le pirate intercepte les données envoyées et reçues sur le réseau.
L’attaque XXS ou cross-site scripting : le pirate tente d’introduire des scripts malveillants dans les codes des sites ou applications web.
Le malware : il se décline sous plusieurs formes, le virus polymorphe, l'infection de système ou d’enregistrement de démarrage, le cheval de Troie ou Trojan, l’infection de fichier, le macro-virus, le virus furtif, les bombes logiques, les ransomwares ou Rançongiciel (demande de rançon).
Comment fermer les failles informatiques ?
La sécurité informatique de l’entreprise est l’affaire de tous, aussi bien en interne que celle des clients et autres intervenants extérieurs. Pour la colmater, la consolider puis la préserver, plusieurs bonnes pratiques sont à mettre en œuvre :
- La limitation des accès aux données en définissant plusieurs rôles d'utilisateur avec différents niveaux d'accès aux systèmes internes.
- La formation (correcte) des collaborateurs aux meilleurs pratiques en matière de sécurité des données ;
- Des audits informatiques de qualité professionnelle et des réévaluations régulières ;
- L’optimisation de la sécurité générale avec la mise en œuvre des outils adéquats.
Comment mettre en place des actions en faveur de la sécurité informatique de l’entreprise ? Parmi les pourvoyeurs de solutions concrètes, citons OWASP, une fondation à but non lucratif ayant vu le jour en 2004. Ses membres actifs, plusieurs milliers, créent et mettent à disposition librement des ressources telles que des logiciels conçus pour la sécurité informatique, des méthodologies, formations, documentations, etc., le tout sans bannière commerciale.
- Se connecter pour poster des commentaires